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Im Internet offen abrufbare NSA-Hackingwerkzeuge 


Vorbemerkung der Fragesteller 

Im Verlauf des 13./14. August 2016 wurden überraschend auf der Software- 
Tauschplattform GitHub 300 Megabyte anspruchsvolle Programme angeboten, 
mit denen unter anderem das gezielte Hacking von weit verbreiteten kommer- 
ziellen Firewalls von Anbietern wie CISCO und Fortinet, von Routern, Be- 
triebssysteme etc. möglich sein soll. Bei den erkennbar nur einen Teil eines Ge- 
samtbestandes darstellenden Programmen soll es sich um Entwicklungen der 
der NSA-Elitehackergruppe TAO zugeordneten Equation Group handeln, deren 
Echtheit und Funktionsfähigkeit inzwischen von Experten allgemein bestätigt 
wird (vgl. „Hacker erbeuteten offenbar NSA-Software“, SPIEGEL ONLINE 
vom 17. August 2016). Zu der Veröffentlichung der zwischenzeitlich am ur- 
sprünglichen Ort nicht mehr verfügbaren, aber vielfach an anderer Stelle gespie- 
gelten Dokumenten und Programmen bekannte sich eine Gruppe mit Namen 
Shadow Brokers. Während zunächst spekuliert wurde, ob die NSA selbst ge- 
hackt worden sein könnte, schätzen einige Experten die angebotenen Pro- 
gramme mittlerweile als das Leak eines Insiders ein, so dass die Möglichkeit 
diskutiert wird, ob nach Edward Snowden eine weitere Person aus dem weiten 
Beschäftigtenkreis der NSA gezielt Informationen an die Öffentlichkeit gege- 
ben haben könnte (vgl. beispielsweise Erich Möchel „Der aktuelle NSA- 
„Hack“ war ein Insiderjob, abrufbar unter http;//fm4.orf at/stories/1772666/). 

Nach Angaben unabhängiger Experten stellen die offenbar unter NSA-intemen 
Codenamen veröffentlichten Hacking-Werkzeuge wie Epicbanana, Buzzdirec- 
tion und Egregiousblunder eine reale und emstzunehmende Bedrohung für die 
Sicherheit von Regiemngs- und Untemehmensnetzwerken weltweit dar (vgl. 
Ellen Nakashima „Powerfül NSA hacking tools have been revealed online, ab- 
rufbar unter www.washingtonpost.com/world/national-security/powerful-nsa- 
hacking-tools-have-been-revealed-onhne/20 1 6/08/ 1 6/bce4f974-63c7- 1 1 e6-96c 
0-37533479Df5_story.html). 

Die Plattform WikiLeaks hatte in der Zwischenzeit angekündigt, über eine ei- 
gene Kopie des veröffentlichten Pakets von Hacking-Werkzeugen zu verfügen, 
welches ebenfalls zu gegebener Zeit veröffentlicht werden soll. Bisher hat diese 
Veröffentlichung jedoch noch nicht stattge fänden. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 
26. September 2016 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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1 . Wann hat die Bundesregierung (einschließlich die ihr nachgeordneten Be- 
hörden) erstmalig von der Veröffentlichung der Hacking-Werkzeuge Kennt- 
nis erhalten? 

Eine erste Kenntnisnahme erfolgte zwischen dem 13. und 15. August 2016. 

2. Wie bewertet die Bundesregierung die Echtheit der angebotenen Hacking- 
Werkzeuge, und worauf stützt sich ihr Urteil? 

Das Bundesamt für Sicherheit in der Informationstechnik (BSl) hat die „frei ver- 
fügbaren Hacking-Werkzeuge“ auf technische Plausibilität geprüft und kam zu 
dem Schluss, dass es sich um funktionierende und bisher teilweise nicht bekannte 
Werkzeuge handele. 


3. ln welchem Umfang waren bzw. sind bundesdeutsche Behörden und Unter- 
nehmen von den offengelegten Schwachstellen, beispielsweise von CISCO- 
und Fortinet Netzwerktechnik (siehe hierzu im Einzelnen http;//blogs.cisco. 
com/security/shadow-brokers), betroffen (bitte nach Behörden bzw. Mini- 
sterien je gesondert ausführen), und wurden zwischenzeitlich die erforderli- 
chen Gegenmaßnahmen getroffen? 

ln den Regierangsnetzen sind die betroffenen Komponenten nicht im Einsatz. 

Bundesdeutsche Behörden und Unternehmen wurden durch das BSl gewarnt. 

Über die Umsetzung der erforderlichen Gegenmaßnahmen liegen dem BSl keine 

Erkenntnisse vor. 


4. Was wurde von der Bundesregierang bzw. den zuständigen Bundesbehörden 
wann veranlasst, um etwaigen Schaden von Regierangs- als auch Untemeh- 
mensnetzwerken der Bundesrepublik Deutschland abzuwenden? 

Das BSl hat Warnungen mit Handlungsempfehlungen an Bundesbehörden, Be- 
treiber Kritischer Infrastrukturen und Mitglieder der Allianz für Cyber-Sicherheif 
versandt und diese Warnungen mehrfach aktualisiert. 


5. Wie bewertet die Bundesregierung die Frage, ob es sich um ein Hack einer 
der NSA nahestehenden bzw. der NSA zugehörigen Gruppe (z. B. der soge- 
nannten Equation Group) oder die Veröffentlichung eines möglichen NSA- 
Beschäftigten selbst handeln könnte, und welche Erkenntnisse hegen ihr 
(oder ihr nachgeordnete Behörden) hierzu vor? 

6. Wie bewertet die Bundesregierung die Frage, ob es sich um ein Hack einer 
der rassischen Regierung nahestehenden Gruppe handeln könnte, und wel- 
che Erkenntnisse hegen ihr (oder ihr nachgeordnete Behörden) hierzu vor? 

Die Fragen 5 und 6 werden gemeinsam beantwortet. 

Es liegen keine Erkenntnisse im Sinne der Frage vor. 


7. Hat die Bundesregierung (oder ihr nachgeordnete Behörden) Kenntnisse be- 
züglich der Frage, von wann die entwendete Software ist, und ob die ent- 
sprechenden Sicherheitslücken mittlerweile geschlossen wurden? 

Wenn ja, welche Sicherheitslücken wurden zwischenzeitlich geschlossen, 
und welche bestehen weiterhin? 

Keine der Dateien trag einen Zeitstempel nach Juni 20 1 3 , j edoch lassen sich Zeit- 
stempel von Dateien ohne großen Aufwand manipulieren. Konkrete Erkenntnisse 
zu Zeitpunkt der Erstellung der Software liegen der Bundesregierung nicht vor. 
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Die Schließung der Schwachstellen gestaltet sich wie folgt: 

• Die CLI Schwachstelle (CVE-20 16-63 67) wurde von Cisco im Jahr 2011 ge- 
schlossen; 

• die EPICBANANAS CLI Schwachstelle (CVE-20 16-63 67) wurde 2013 von 
Cisco geschlossen; 

• die EXTRABACON SNMP Schwachstelle (CVE-20 16-63 66) wurde am 
16. August 2016 von Cisco geschlossen; 

• die BENIGNCERTAIN IKE-Schwachstelle betraf PIX Firewalls mit Versio- 
nen <= 6.x. Die PlX-Serie wurde von Cisco im Jahr 2008 abgekündigt; 

• die vermutlich unter EGREGIOUSBLUNDER laufende FortiGate Firmware 
(FOS) Schwachstelle betraf nach Angaben des Herstellers alle vor August 2012 
veröffentlichten Versionen von FortiOS; 

• die WatchGuard-Schwachstelle hat nach Aussage des Herstellers ausschließ- 
lich in älteren RapidStream Geräten existiert. WatchGuard Firebox und XTM 
Systeme sind demnach nicht verwundbar. 

Hinter ELIGIBLECANDIDATE, ELIGIBLEBOMBSHELL, ELIGIBLECON- 
TESTANT und ELIGIBLEBACHELOR verbergen sich allem Anschein nach un- 
terschiedliche Exploits für Firewalls des chinesischen Herstellers TopSec. Seitens 
TopSec wurden nach BSl-Kenntnis bisher keine Patches veröffentlicht. 

Bei BANANAGLEE, FEDTHROUGH und ZESTYLEAK handelt es sich um für 
NetScreen-Firewalls des Herstellers Juniper Networks nutzbare Implantate, ln ei- 
nem Blog-Post2 bestätigt Juniper grundsätzlich die Existenz von Implantaten für 
NetScreen Systeme, ln Reaktion wird auf Prüfverfahren verwiesen, mit denen 
sich modifizierte Firmware-Images erkennen lassen. 


8. Hat die Bundesregiemng (oder ihr nachgeordnete Behörden) Kenntnisse be- 
züglich der Frage, ob es sich um einen gezielten Hack oder eventuell eher 
um einen „Zufallsfund“ auf einem von der „Equation Group“ oder anderen 
Gmppe verwendeten Command-and-Control-Server handelt? 

Wenn ja, welche? 

9. Welche Erkenntnisse hat die Bundesregiemng (oder ihr nachgeordnete Be- 
hörden) zu Verbindungen von den nun veröffentlichten Dokumenten und 
den Dokumenten aus dem Umfeld Edward Snowdens, und welche Rück- 
schlüsse lassen diese Erkenntnisse aus Sicht der Bundesregiemng auf die je- 
weilige Echtheit der veröffentlichten Dokumente zu? 

Die Fragen 8 und 9 werden gemeinsam beantwortet. 

Hierzu liegen keine Erkenntnisse vor. 
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10. Unabhängig von der Frage der Herkunft und Verantwortung für die Erstel- 
lung der Hacking-Werkzeuge, hält die Bundesregierung es für die Aufgabe 
auch bundesdeutscher Behörden (etwa die geplante ZITIS), kommerzielle 
Netzwerkelemente wie beispielsweise die betroffenen, weithin im Einsatz 
befindlichen CISCO- und und Fortinet-Produkte, Firewall-Programme, Rou- 
ter, Betriebssysteme etc. gezielt auf Schwachstellen zu analysieren und für 
den Angriff auf Netzwerke derartige Instrumente und das Wissen über 
Schwachstellen vorzuhalten? 

Die Bundesregierang nutzt bereits jetzt die ihr zur Verfügung stehenden Ressour- 
cen, um die IT-Sicherheit Deutschlands möglichst umfassend zu gewährleisten. 
Zu diesem Zweck werden bereits heute wichtige Hard- und Software-Komponen- 
ten auf mögliche technische Schwachstellen untersucht und kritische Infrastruk- 
turen zum Schutze des Landes entsprechend gesichert. 


1 1 . Teilt die Bundesregiemng, auch angesichts der jetzigen Veröffentlichungen, 
die Ansicht der Fragesteller, dass es dringend angeraten ist, Schwachstellen, 
sobald sie bekannt sind, statt sie bewusst offen zu halten, um sie ggf zu 
einem späteren Zeitpunkt nutzen zu können, umgehend zu schließen, auch, 
um zu verhindern, dass diese Dritten offenstehen und ggf. missbraucht wer- 
den können? 

Die Bundesregierung steht für eine sichere IT-Infrastruktur und spricht sich vor 
dem Hintergrund einer möglichen missbräuchlichen Verwendung gegen das Of- 
fenhalten von Sicherheitslücken aus. In diesem Sinn verfolgt z. B. das BSI eine 
Responsible-Disclosure-Politik und geht aktiv auf Hersteller zu, damit diese ge- 
meldete Schwachstellen schließen können. 


12. Wird sich die Bundesregiemng, wie dies beispielsweise in einem Entschlie- 
ßungsantrag der fragestellenden Fraktion zu der dritten Beratung des Gesetz- 
entwurfs der Bundesregiemng eines Gesetzes zur Erhöhung der Sicherheit 
informationstechnischer Systeme (IT-Sicherheitsgesetz) auf Bundestags- 
drucksache 18/5127 im Juni 2015 forderte, für eine gmndsätzliche Pflicht 
zur unverzüglichen Veröffentlichung von Wissen über Sicherheitslücken 
einsetzen? 

Gemäß § 7a Absatz 1 Satz 1 des BSI-Gesetzes kann das BSI zur Erfüllung seiner 
Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1,14 und 17 auf dem Markt bereit- 
gestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechni- 
sche Produkte und Systeme untersuchen. § 7 Absatz 2 des BSI-Gesetzes enthält 
eine eindeutige Zweckbindung und stellt klar, dass die aus den Untersuchungen 
gewonnenen Erkenntnisse ausschließlich zur Erfüllung dieser Aufgaben genutzt 
werden dürfen. Das BSI darf seine Erkenntnisse weitergeben und veröffentlichen, 
soweit dies zur Erfüllung dieser Aufgaben erforderlich ist. Zuvor ist dem Herstel- 
ler der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur 
Stellungnahme zu geben. 

Die Bundesregierang sieht an der bestehenden Regelung keinen Änderangsbe- 
darf. Die mit dem IT-Sicherheitsgesetz in § 7a des BSI-Gesetzes eingefügte Re- 
gelung zur Untersuchung von informationstechnischen Produkten und Systemen 
ist sachgerecht. Sofern der Hersteller — etwa bei einer festgestellten Sicherheits- 
lücke — selbst an die Öffentlichkeit geht oder sonst Abhilfe schafft, ist eine zu- 
sätzliche Veröffentlichung der Erkenntnisse durch das BSI nicht erforderlich. 
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Eine grundsätzliche Verpflichtung des BSl zur unverzüglichen Veröffentlichung 
wäre demgegenüber nicht nur rechtlich problematisch, sondern auch im Ergebnis 
nicht zielführend, etwa dann nicht, wenn die Sicherheitslücke weder geschlossen 
werden kann noch alternative Produkte zur Verfügung sfehen. Eine Veröffentli- 
chung würde in diesem Fall nur potentiellen Angreifern helfen, eine bestehende 
Sicherheitslücke auszunutzen. 


13. Wird die Bundesregierung, wie dies in der in Frage 1 2 Erwähnung findenden 
Initiative gefordert wird, dafür Sorge tragen, dass, auch um eine Befordemng 
des Schwarzmarktes für Sicherheitslücken, welche die Integrität digitaler 
Infrastmkturen gefährden, der staatliche Aufkauf und die Zurückhaltung 
bzw. Nichtveröffentlichung von Wissen über Sicherheitslücken, gesetzlich 
verboten wird? 

Wenn ja, wann ist mit der Vorlage zu rechnen? 

Falls nein, wamm nicht? 

Die Strafverfolgungsbehörden des Bundes und der Länder gehen im Rahmen der 
geltenden Rechtslage und ihrer jeweiligen Zuständigkeiten gezielt gegen organi- 
siertes Verbrechen, Cybercrime und Terrorismus vor. 

Die Strafverfolgung richtet sich dabei auch konsequent gegen strafbare Handlun- 
gen und Inhalte des Schwarzmarktes. Die gesetzlichen Regelungen sind dabei be- 
reits heute umfassend. 


14. Sieht die Bundesregiemng den Ankauf und die Zurückhaltung bzw. Nicht- 
veröffentlichung von Wissen über Sicherheitslücken durch staatliche Stellen 
als vereinbar mit ihrem Ziel, die IT-Sicherheit zu erhöhen, an oder teilt die 
Bundesregiemng die Ansicht der Fragesteller, dass beides nicht miteinander 
in Einklang zu bringen ist? 

Erkenntnisse zu Sicherheitslücken, die öffentlich bekannt sind, auf eigenen Ana- 
lysen beruhen oder beispielsweise im Rahmen der Zusammenarbeit von CERTs 
gewonnen werden, diskutiert das BSI gemäß seines gesetzlichen Auftrages regel- 
mäßig mit den betroffenen Herstellern. Das Ziel ist hierbei, dass die Hersteller 
diese Sicherheitslücken kurzfristig schließen können. 


15. Verfügt die Bundesregiemng oder ihr nachgeordnete Behörden inzwischen 
über Kopien der online angebotenen Hacking-Werkzeuge, und wenn nein, 
auf welche Weise wurde Vorsorge getroffen (etwa durch Ansprache anderer 
betroffener Staaten; Kontakt mit den USA, der NSA etc.), dass diese Werk- 
zeuge nicht gegen Stellen in und gegen Institutionen der Bundesrepublik 
Deutschland eingesetzt werden können? 

Der Bundesnachrichtendienst (BND) und das BSI verfügen über die „frei verfüg- 
baren Dafeien.“ 


16. Sind Regiemngsstellen bzw. Teile von Regiemngsnetzwerken von den von 
CISCO benannten Sicherheitslücken (Exploits) oder anderen Schwachstel- 
len, z. B. für die Umgehung von gängigen Firewall-Programmen, zur Infil- 
triemng von Routern und/oder Betriebssystemen, betroffen, wenn ja, in wel- 
chem bezifferbaren Umfang, und konnten diese Lücken inzwischen ge- 
schlossen werden? 

In Regierangsnetzen sind die betroffenen Komponenten nicht im Einsatz. 
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17. Wurde zwischenzeitlich der zur Koordination mit der Wirtschaft geschaffene 
Cybersicherheitsrat mit diesem Vorfall befasst, und wenn ja, wann, und mit 
welcher Zielrichtung? 

Die letzte Sitzung des Cyber-Sicherheitsrates fand am 8. Juli 2016 statt. Die in 
Rede stehende Veröffentlichung erfolgte am 13. August 2016. Der Cyber-Sicher- 
heitsrat hat sich bisher nicht mit diesem Vorfall befasst. 


18. Wann war das Bundesamt für Sicherheit in der Informationstechnik (BSI) 
erstmalig mit diesem Vorgang befasst, und was hat es hierzu zwischenzeit- 
lich veranlasst? 

Auf die Antworten zu den Fragen 1, 2, 4, 15 und 17 wird verwiesen. 


19. Gibt der Vorfall der Bundesregierung Anlass, ihre Bewertung der Vorteile 
und Risiken der Neugründung der sogenannten ZITIS-Behörde zu überden- 
ken, welche selbst zum ausgewählten Ziel von Angriffen werden dürfte, die 
bei Erfolg gravierende Risiken für die nationalen Kommunikationsinfra- 
stmkturen als auch für die Betriebs- und Geschäftsgeheimnisse von Unter- 
nehmen der Wirtschaft nach sich ziehen? 

ZITiS wird sehr strengen personellen und materiellen Sicherheitsregeln unterlie- 
gen, die im Besonderen auf die IT-Inffastruktur Anwendung findet. Die neue Be- 
hörde wird sich damit in die Sicherheitsstandards von BKA (Bundeskriminal- 
amt), BPOL (Bundespolizei), BfV (Bundesamt für Verfassungsschutz), BND und 
BSI einreihen. Ferner werden auch für ZITiS die Grundsätze der Verschlusssa- 
chenanweisung (VSA) gelten, durch die zusätzliche hohe Standards für die Ver- 
wahrung schützenswerter Erkenntnisse festgeschrieben sind. 
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